COSO-2013 Viitekehys

COSO-malli on alun perin vuonna 1992 Committee of Sponsoring Organizations of the Treadway Commission -organisaation kehittämä sisäisen valvonnan malli. Mallin syntymisen taustalla on 1980-luvun alussa perustettu Treadway Commission, joka luotiin tunnistamaan tekijöitä, jotka johtavat vilpilliseen taloudellisen tiedon raportointiin sekä antamaan suosituksia toimenpiteistä vilpillisen raportoinnin torjumiseksi.

Komission työn seurauksena syntyi COSO-malli, josta tuli yksi laajemmin käytössä olevista malleista, jota toimijat hyödyntävät arvioidessaan sekä kehittäessään sisäistä valvontajärjestelmäänsä. (Lawson, Muriel & Sanders 2017)

Nopeasti kehittyvän liiketoimintaympäristön, tekniikan jatkuvan uudistumisen sekä markkinoiden yhä lisääntyvän globalisaation myötä mallia on kehitetty vastaamaan paremmin yritysten nykymaailman tarpeita (Byrnes, Curtis, Janvrin, Payne &

Schneider 2012; Lawson, Muriel & Sanders 2017). Rittenbergin (2013) mukaan

vuonna 2013 julkaistu uudistettu sisäisen valvonnan viitekehys tarjoaa yhä laajemmin ohjeita sisäisen valvontajärjestelmän suunnitteluun ja implementointiin sekä auttaa organisaatioita luomaan tehokkaamman sisäisen valvontajärjestelmän pienemmillä kustannuksilla. Ratsula (2016, 59) korostaa teoksessaan, että COSO-malli toimii hyvänä perustana yritykselle oman sisäisen valvontajärjestelmän rakentamisessa ja kehittämisessä. Mallin avulla sisäisen valvonnan kaikki osa-alueet tulevat tunnistetuiksi ja valvonnan järjestäminen on tehokasta.

COSO-mallia havainnollistavasta kuutiosta (kuvio2) voidaan nähdä, että organisaatiolle asetetut tavoitteet, sisäisen valvonnan komponentit ja organisaation rakenne ovat kaikki sidoksissa toisiinsa. Tavoitteiden kolme eri luokkaa (toiminta, raportointi ja vaatimuksenmukaisuus) on kuvattu pylväinä ja viisi sisäisen valvonnan osatekijää on kuvattu riveinä. Kolmantena ulottuvuutena kuvattu organisaation rakenne havainnollistaa sisäisen valvonnan elementtien ulottumista organisaation kaikille tasoille. (COSO 2013)

Kuvio 2. COSO-malli kuutiona (Mukaillen COSO 2013)

Mallin tavoitteet on jaoteltu kolmeen ryhmään, jotka kuvastavat sisäisen valvonnan eri dimensioita. Toimintoihin liittyvät tavoitteet viittaavat organisaation toimintojen tehokkuuteen sekä tuloksellisuuteen. Toimintojen tavoitteisiin kuuluvat myös varojen turvaaminen sekä operationaalisen ja taloudellisen suoriutumisen tavoitteet.

Raportoinnin tavoitteet käsittävät sisäisen ja ulkoisen taloudellisen sekä ei-taloudellisen raportoinnin. Raportoinnin tavoitteet voivat liittyä esimerkiksi informaation läpinäkyvyyteen, ajantasaisuuteen sekä luotettavuuteen.

Vaatimuksenmukaisuus-tavoitteet liittyvät organisaatioita koskevien lakien ja säädösten noudattamiseen.

(COSO 2013)

COSO-mallin (2013) mukaan sisäinen valvonta muodostuu viidestä toisiinsa liittyvästä osatekijästä, jotka ovat ohjausympäristö, riskien arviointi, valvontatoimenpiteet, informaatio ja viestintä sekä seurantatoimenpiteet. Metrejean ja Noland (2013) korostavat erityisesti ohjausympäristön merkitystä, sillä heidän mukaansa se muodostaa perustan mallin muille neljälle komponentille ja ilman ohjausympäristöä neljä muuta komponenttia eivät riitä muodostamaan tehokasta ja kokonaisvaltaista valvontajärjestelmää.

Ohjausympäristö koostuu standardeista, prosesseista ja rakenteista, jotka muodostavat sisäiselle valvonnalle pohjan koko organisaatiossa. Hallituksen ja ylimmän johdon tulee osoittaa toiminnallaan, mikä merkitys sisäisellä valvonnalla on organisaatiossa ja miten organisaatiossa tulee menetellä. Ohjausympäristö käsittää toimivaltuuksien sekä niiden toimenpiteiden määrittelyn, joilla hallitus toteuttaa valvontavelvollisuuksiaan. Lisäksi ohjausympäristö kattaa henkilöstön palkkaamiseen, kehittämiseen ja sitouttamiseen liittyvät prosessit sekä vastuulliseen toimintaan ohjaavat suorituskyvyn mittarit ja palkitsemispolitiikan. (COSO 2013) Ahokkaan (2012, 27) mukaan ohjausympäristöstä voidaan puhua myös valvontakulttuurina, joka muodostuu johdon ja henkilöstön asenteista, johdon toimintaperiaatteista sekä sisäiseen valvontaan kohdennetuista toimenpiteistä.

Organisaatioiden liiketoiminta ja toimintaympäristö muuttuvat jatkuvasti ja organisaatiot joutuvat kohtaamaan toiminnassaan sekä ulkoisia että sisäisiä riskitekijöitä. Kaikki organisaation kohtaamat riskit eivät aiheuta uhkaa organisaation liiketoiminnalle, vaan jotkin niistä voivat tuottaa myös mahdollisuuksia. Riskillä kuvataan jonkin organisaation tavoitteisiin vaikuttavan tapahtuman mahdollisuutta. (IIA 2009) COSO-mallin (2013) mukaan riskien arviointi on jatkuva prosessi, jossa pyritään havaitsemaan ja arvioimaan tavoitteiden saavuttamiseen vaikuttavia riskejä.

Tavoitteiden pääsemiseen uhkaavia riskejä arvioidaan verrattuna määriteltyyn riskinsietokykyyn ja näin ollen riskien arviointi luo perustan sille, millä toimenpiteillä organisaatiossa hallitaan riskejä. Johdon tulee määritellä organisaation eri tasoille tavoitteet, jotta riskejä suhteessa asetettuihin tavoitteisiin voidaan tunnistaa ja arvioida.

Organisaatioon muodostetut tavoitteet luovat perustan riskien arvioinnin lisäksi myös tarpeellisten kontrollien määrittelylle (Ratsula 2016, 108).

Valvontatoimenpiteet ovat toimintapolitiikoissa ja -ohjeissa määriteltyjä menettelytapoja, joiden avulla pyritään varmentamaan, että organisaatio toimii johdon asettamien tavoitteiden mukaisesti. Lisäksi valvontatoimenpiteiden olemassaolo luo varmuutta siitä, että tarpeellisiin riskienhallintatoimiin on ryhdytty.

Valvontatoimenpiteitä muodostetaan organisaation jokaiselle tasolle, toimintaprosessien eri vaiheisiin sekä teknologiseen ympäristöön. (COSO 2013) Valvontatoiminnot voidaan jaotella toimintaperiaatteisiin ja kontrollitoimenpiteisiin.

Toimintaperiaatteet luovat ohjeet sille, mitä pitäisi tehdä, kun taas kontrollitoimenpiteet ovat käytännön toimia, joilla toimintaperiaatteita pyritään toteuttamaan. (Ahokas 2012, 34)

Tarvittavan ja olennaisen tiedon olemassaolo sekä tehokas viestintä ovat organisaatiossa välttämättömiä, jotta henkilöstö pystyy toteuttamaan vastuunsa sisäisessä valvonnassa. Johto hankkii, käyttää sekä tuottaa laadukasta ja relevanttia informaatiota sisäisen valvonnan tukemiseksi. (COSO 2013) Siten kommunikoidun informaation laadulla sekä viestinnän tehokkuudella on olennainen merkitys myös organisaation väärinkäytösriskienhallinnassa (Rae, Sands & Subramaniam 2017).

Usein viestintä on tehokkainta silloin, kun sitä toteutetaan säännöllisesti ja erilaisia viestintäkanavia hyödyntämällä. Koska kukin organisaatio on erilainen, tulee myös viestintä kustomoida kunkin organisaation ominaisuuksiin sopivaksi. Rittenbergin (2013) mukaan organisaation viestintä on jatkuva prosessi, jota toteutetaan niin sisäisesti kuin ulkoisestikin. Sisäinen viestintä kattaa johdon raportoinnin asetetuista tavoitteista sekä vastuualueista, jotka ovat tarpeen sisäisen valvonnan tukemiseksi.

Ulkoinen kommunikointi on kaksisuuntaista tiedon saamista ja välittämistä asioista, jotka vaikuttavat osaltaan sisäisen valvonnan toimintaan.

Jatkuvilla seurantatoimenpiteillä, erillisillä arvioinneilla tai niiden yhdistelmillä pyritään seuraamaan sisäisen valvonnan osatekijöiden laatua ja toimivuutta.

Toimintaprosesseihin sisältyvät jatkuvat arvioinnit tuottavat ajantasaista tietoa. Erilliset säännöllisin väliajoin tehtävät arvioinnit vaihtelevat alueeltaan ja toimintatiheydeltään riippuen riskiarvioinnista, jatkuvien seurantatoimenpiteiden avulla saaduista tuloksista

sekä muista johdon tekemistä havainnoista. Seurantatoimenpiteiden tavoitteena on pyrkiä arvioimaan, miten organisaatiossa toteutunut toiminta sopii yhteen lainsäädännöllisten sekä organisaation itse asettamien tavoitteiden ja säännösten kanssa. (COSO 2013)